하드 드라이브 암호화 문제를 해결하는 방법

목차:

1. 하드 디스크 암호화란 무엇입니까?
2. 하드웨어 암호화와 소프트웨어 암호화 비교
3. TPM이란 무엇입니까?
4. FDE(Full Disk Encryption)
5. BitLocker란 무엇입니까?
6. 어드밴스드 포맷 512e(4K) FDE 하드 드라이브의 암호화
7. 암호화 소프트웨어가 하드 드라이브를 인식하지 못함
8. 부팅 전 문제
9. 타사 암호화 소프트웨어를 추가한 후에 시스템이 부팅되지 않음
10. 암호화 및 운영 체제 재설치
11. 비밀번호 또는 암호화 키를 분실함

1. 하드 디스크 암호화란 무엇입니까?

하드 디스크 암호화는 디스크 또는 전체 드라이브의 데이터를 권한이 없는 사용자가 액세스할 수 없도록 수학적 알고리즘을 사용하여 판독 불가능한 코드로 변환하는 과정입니다. 사용자는 암호화된 드라이브를 이용하려면 비밀번호, 지문 또는 스마트 카드를 제공해야 합니다. 암호화는 소프트웨어 또는 하드웨어 메커니즘의 수단으로 수행할 수 있습니다. 클라이언트 세계에서 Dell은 소프트웨어 암호화를 처리하는 데 많은 시간을 할애합니다. 암호화는 파일 수준 또는 전체 하드 디스크에 대해 할 수 있습니다.

맨 위로 이동

2. 하드웨어 암호화와 소프트웨어 암호화 비교

소프트웨어와 하드웨어 암호화 사이의 주된 차이는 소프트웨어 암호화 메커니즘을 사용하여 MBR(Master Boot Record)을 암호화할 수 없다는 것입니다. Dell 클라이언트 컴퓨터는 소프트웨어 기반 암호화를 위한 TPM 칩이 있는 Dell ControlPoint Security Manager 또는 Dell Data Protection 제품군의 일부로 Wave Trusted Drive Manager를 사용합니다. 엔터프라이즈 고객들은 Dell Data Protection Encryption 및 DDPE 가속기 모듈을 사용할 수 있습니다. 이 모듈은 노트북에서는 미니 카드로, 데스크탑 컴퓨터에서는 PCIe 카드로 마더보드의 슬롯에 설치하여 데이터 보호를 강화할 수 있습니다. 하드웨어 암호화는 CPU 및 운영 체제에서 드라이브를 분리하기 때문에 공격에 훨씬 덜 취약하므로 더 안전합니다.

맨 위로 이동

3. TPM이란 무엇입니까?

TPM(Trusted Platform Module)은 드라이브에 대한 암호화 키를 저장하고 인증하는 마더보드의 암호화 마이크로프로세서로, 드라이브와 컴퓨터를 연결합니다. 즉, 암호화된 드라이브를 컴퓨터에서 훔쳐 다른 컴퓨터에 설치한 경우 드라이브에 액세스할 수 없습니다. TPM 칩이 드라이브에 대한 '게이트웨이' 역할을 합니다. 암호화 체계에서 TPM 칩을 사용할 때 가장 큰 단점은 마더보드를 교체해야 하는 경우 잠재적으로 사용자가 더 이상 드라이브에 액세스할 수 없다는 것입니다. 그러나 Wave Trusted Drive Manager는 하드 드라이브에도 암호화 키를 보관하여 이 문제를 해소해 줍니다. 이는 마더보드를 교체할 때 RAID 어레이가 손실되지 않는 것과 비슷합니다. 어레이 정보는 드라이브 스트라이프 및 RAID 컨트롤러 EPROM에 보관됩니다.

자세한 정보: TPM 및 BitLocker의 일반적인 문제 해결 방법

맨 위로 이동

4. FDE(Full Disk Encryption)

FDE(Full Disk Encryption)는 파일, 폴더 또는 파일 컴퓨터가 아니라 드라이브 전체(모든 섹터)를 암호화할 수 있다는 뜻입니다. 컴퓨터 도난이나 손실의 확률이 높아짐에 따라 노트북에서 FDE 하드 드라이브가 표준이 되고 있습니다. 'Full Disk Encryption'이라는 용어는 원래 Seagate가 만들었지만 완전히 암호화할 수 있는 모든 하드 드라이브에 대한 업계 용어로 자리 잡았습니다. FDE 하드 드라이브 보안 기능은 항상 켜져 있으며 보안 정책이 구현될 때까지 일반 하드 드라이브 역할을 합니다.

매우 흔하게 제기되는 질문은 Wave Trusted Drive Manager 암호화 소프트웨어를 비 FDE 하드 드라이브에서 사용하여 디스크 전체의 보안을 유지할 수 있느냐는 것입니다. 대답은 '아니요'입니다. Wave Trusted Drive Manager에는 FDE 드라이브가 필요합니다. Windows BitLocker 같은 소프트웨어 암호화 메커니즘은 TPM 칩 또는 USB 드라이브를 사용하여 비 FDE 드라이브에서 볼륨을 암호화하는 데 사용할 수 있지만 하드 드라이브의 운영 체제 부트스트랩(부트 섹터)은 사용할 수 없습니다.

Wave Trusted Drive Manager가 제공하는 완전하게 암호화된 하드 드라이브의 콘텐츠에 액세스하기 위해 운영 체제 및 사용자 데이터를 포함하는 섹터에 액세스할 수 있도록 부팅 전 인증이 사용됩니다. DDPA를 사용하는 클라이언트 컴퓨터에서 부팅 전 인증 설정은 DDPA/DCPSM 내에서 Wave 소프트웨어에 의해 처리됩니다.

맨 위로 이동

5. BitLocker란 무엇입니까?

BitLocker는 Windows 7에서 제공되는 FDE(Full Disk Encryption) 기능으로, Ultimate 및 Enterprise Edition에서만 사용할 수 있습니다. BitLocker To Go를 사용하여 이동식 데이터 드라이브(예: 외장 하드 드라이브 또는 USB 플래시 드라이브)에 저장된 모든 파일을 보호할 수 있습니다.

Trusted Drive Manager와는 달리 이 드라이브는 FDE 드라이브가 아니어도 무관하지만 BitLocker는 부팅 볼륨을 제외한 볼륨만 암호화할 수 있습니다. BitLocker로 암호화한 드라이브는 TPM과 함께 비밀번호나 스마트 카드를 사용하여 사전 부팅을 통해 잠금을 해제할 수 있습니다. 사전 부팅 메커니즘이 BitLocker에 액세스할 수 있도록 하려면 BIOS가 부팅 시 USB 드라이브를 읽을 수 있어야 하고 2개의 파티션이 있어야 합니다. 이때 컴퓨터 드라이브 파티션은 최소 100MB여야 하며 활성 파티션으로 설정해야 합니다. 운영 체제 파티션이 암호화되고 컴퓨터가 시작할 수 있도록 컴퓨터 파티션이 암호화되지 않은 상태로 유지됩니다.

BitLocker 사용에는 TPM이 필요하지 않지만 보안 향상을 위해 사전 부팅에 권장됩니다. Windows 업데이트에서는 BitLocker를 비활성화하지 않아도 되지만 다른 업데이트에서는 비활성화해야 할 수도 있습니다. 다른 암호화 애플리케이션과 마찬가지로 복구 키(PIN)를 이동식 미디어 또는 그 밖의 안전한 위치에 저장하는 것이 좋습니다. 사용자에게 복구 PIN이 없으면 드라이브를 잠금 해제할 수 없습니다. 컴퓨터를 부팅하여 BitLocker Recovery Console로 이동할 수 없거나 하드 드라이브가 작동하지 않는 경우 BitLocker Repair Tool 을 다운로드하고 부팅 가능한 키 또는 CD에 압축을 풀어 드라이브에서 데이터를 복구할 수 있습니다. 데이터에 액세스하려면 PIN이 있어야 합니다.

도메인의 사용자가 Active Directory를 사용하고 관리자가 BitLocker를 설정한 경우 Active Directory 내에 PIN이 저장되어 있을 수 있으므로 관리자에게 해당 IT 부서에 문의하라고 하십시오.

자세한 정보: TPM 및 BitLocker의 일반적인 문제 해결 방법

맨 위로 이동

6. 어드밴스드 포맷 512e(4K) FDE 하드 드라이브의 암호화

512e(4K) 또는 어드밴스드 포맷 하드 드라이브는 드라이브의 개별 섹터가 512바이트에서 4,096바이트로 변경되었음을 의미합니다. 1세대 어드밴스드 포맷 하드 드라이브는 8-512바이트 섹터를 가져와 하나의 4,096바이트 섹터로 결합하여 기능을 수행합니다. Dell 컴퓨터에서 512e(에뮬레이션)라는 용어는 하드 드라이브의 펌웨어 내에서 변환 메커니즘을 사용하여 레거시 구성 요소 및 512바이트 섹터를 필요로 하는 소프트웨어 대해 4,096 섹터 모양을 시뮬레이션하는 과정에서 비롯됩니다. 어드밴스드 포맷 512e 하드 드라이브에 대한 모든 읽기/쓰기는 512바이트 단위로 이루어지지만 읽기 주기에서는 전체 4,096이 메모리로 로드됩니다. 이 때문에 512e 하드 드라이브를 정렬해야 합니다. 드라이브 정렬을 수행하지 않으면 드라이브의 성능이 심각한 영향을 받을 수 있습니다. Dell 컴퓨터와 함께 구입한 현재 하드 드라이브는 이미 정렬되어 있습니다.

컴퓨터에 어드밴스드 포맷(512e) 드라이브가 있는지 확인하려면 어드밴스드 포맷 하드 드라이브 검색 툴을 다운로드하십시오. 

파티션 정렬은 이전 운영 체제의 경우 필수 사항이며, 새 운영 체제의 경우 적절한 하드 드라이브 성능과 섹터 크기가 다른 HDD의 이미징을 위한 권장 사항입니다.

드라이브 정렬은 다양한 툴을 사용하여 수행할 수 있으며, Dell 지원 사이트 드라이버 및 다운로드의 SATA 드라이브 섹션에서 컴퓨터에 맞는 툴을 다운로드할 수 있습니다.

맨 위로 이동

7. 암호화 소프트웨어가 하드 드라이브를 인식하지 못함

Wave Trusted Drive Manager의 경우 드라이브가 FDE(Full Drive Encryption)여야 하며 SATA 작동이 RAID On/RAID가 아닌 ATA/AHCI/IRRT에 맞게 설정되어 있어야 합니다. 이 문제는 타사 암호화 프로그램 때문에 발생할 수 있습니다.

공급업체에 BIOS 설정 요구 사항을 확인합니다.

드라이브 정렬을 확인하여 운영 체제 이미지 중에서도 특히 Windows XP가 사용되고 있는지 확인합니다. 암호화 전에 이미지에 모든 업데이트가 적용되었는지 확인합니다.

타사 암호화 소프트웨어를 사용하는 경우 공급업체에 문의하여 소프트웨어가 컴퓨터의 하드웨어는 물론 UEFI(Unified Extensible Firmware Interface) BIOS와 작동하는지 확인합니다.

맨 위로 이동

8. 부팅 전 문제

• 사용자가 부팅 전 인증 문제를 겪고 있는 경우 비밀번호, 지문 또는 스마트 카드 중 어떤 인증 메커니즘을 사용하고 있는지 확인합니다.
• 비밀번호의 경우 올바른 비밀번호를 사용하고 있고 및 키가 올바르게 설정되어 있는지 확인합니다.
• 지문을 사용하는 경우 올바른 손가락을 사용하고 있고 너무 빨리 댄 것은 아닌지 확인합니다. 지문을 세 번 잘못 대면 비밀번호 프롬프트가 트리거됩니다.
• 스마트 카드의 경우 올바른 카드를 사용하고 있고 올바르게 삽입했는지 확인하고 손상이 있는지 확인합니다. 가능하면 다른 카드를 사용해 보십시오.
• 도메인에서는 로컬 로그인으로 전환하지 않았는지 확인하십시오. 암호화를 구성했을 때와 동일한 자격 증명을 사용해야 합니다.
• 사용자가 재부팅 시 부팅 전 인증이 작동하지 않는다고 보고할 경우 BIOS를 확인하여 비밀번호 우회가 활성화되지 않았는지 확인합니다. 이 기능은 이전 BIOS 릴리스에서 작동하지 않았지만 이후로 수정되었습니다. 고객이 최신 BIOS를 사용하고 있는지 확인합니다.
• 사용자가 암호를 잃어버렸거나 고용이 만료된 경우 Dell에서 Trusted Drive Manager 암호화를 위한 암호를 복구할 수 있는 방법이 없습니다. 타사 애플리케이션의 경우 해당 공급업체에 문의하여 지원을 받으십시오.

맨 위로 이동

9. 타사 암호화 소프트웨어를 추가한 후에 시스템이 부팅되지 않음

컴퓨터 전원을 켜고 부팅 과정 중에 키를 눌러 BIOS 부팅 메뉴에 들어갑니다. BIOS가 정확한 시간에 키를 인식하도록 하려면 부팅 프로세스 중에 반복해서 키를 눌러야 할 수 있습니다. 위쪽 및 아래쪽 화살표를 사용하여 메뉴에서 <Diagnostics>를 선택하고 키를 누릅니다.

드라이브가 오류 상태가 아니며 아무 오류도 보고하지 않았음을 확인하기 위해 ePSA(Enhanced Pre-boot System Assessment) 진단이 실행됩니다. 어드밴스드 포맷(512e) 드라이브가 있는 경우 암호화를 수행하기 전에 드라이브가 올바르게 정렬되어 있는지 확인합니다.

복구 옵션은 타사 공급업체에 문의하십시오. 대부분의 회사에는 사용자가 부팅 가능한 키나 CD에 사용자가 로드할 수 있는 복구 유틸리티가 있습니다. 이 컴퓨터 모델의 이 특정 소프트웨어에 문제가 있을 경우를 대비해 컴퓨터 플랫폼 문제에 대해서도 공급업체 사이트에 확인합니다.

맨 위로 이동

10 암호화 및 운영 체제 재설치

암호화된 디스크에서 운영 체제가 손상되어 재설치가 필요한 경우에 하드 드라이브가 잠금 상태에 있어 Windows 설치 디스크가 드라이브를 인식하지 못할 가능성이 있습니다. Wave Trusted Drive Manager 암호화된 드라이브의 경우 운영 체제 재설치를 수행하기 전에 드라이브의 잠금을 해제해야 합니다.

여기에서 재설치 전에 드라이브의 잠금을 해제하는 방법을 설명하는 Wave 사이트의 지원 문서를 참조하십시오.

타사 암호화 소프트웨어의 경우 재설치를 시도하기 전에 공급업체에 올바른 절차를 문의하십시오.

맨 위로 이동

11 비밀번호 또는 암호화 키 분실

사용자가 부팅 전 비밀번호, 암호화 키를 잃어버렸거나 최종 사용자가 퇴사한 경우 거의 대부분의 암호화 애플리케이션 공급업체가 복구를 위한 페일 세이프 메커니즘을 제공합니다. 업계 표준 데이터 정책에 따라 복구 메커니즘은 고객이 시작해야 합니다. 이 작업은 비밀번호/키를 이동식 스토리지 또는 네트워크 위치에 저장하여 수행됩니다. 전체 디스크 암호화가 구현되고 사용자가 비밀번호/키를 잃어버린 경우에는 Dell에서 드라이브의 비밀번호/키를 복구하기 위해 도울 방법이 없습니다. 이 경우에는 사용자에게 교체 하드 드라이브가 필요합니다. 암호화가 설계된 대로 작동하고 데이터를 침입으로부터 보호하기 때문에 이 문제는 보증 범위를 벗어납니다. 드라이브 교체 비용은 사용자 부담입니다. 사용자 이름 문제의 경우 Wave로부터 도움을 받을 수 있습니다. 사용자 이름을 잊어버린 경우 Wave에서 도움을 받으려면 사용자에게 비밀번호가 있어야 합니다. 사용자가 비밀번호를 잊어버렸거나 분실했거나 비밀번호가 없는 경우 Wave에서 도움을 줄 수 없습니다.

위의 단계를 통해 문제가 해결되지 않는 경우 Dell 기술 지원 부서에 전화하여 도움을 받으십시오.

맨 위로 이동

권장 문서

다음은 사용자가 관심 있을 만한, 이 주제와 관련된 몇 가지 권장 문서입니다.

• Dell Full Disk Encryption 시스템 요구 사항
• M.2 SSD에서 하드 드라이브 암호를 설정하는 BIOS 옵션
• Dell 컴퓨터의 자동 Windows 디바이스 암호화 또는 BitLocker